lunes, 7 de julio de 2008

La viga propia o los métodos de la Agencia de Protección de Datos

Interesante comentario de una resolución (pdf) de la Agencia de Protección de Datos por parte de Samuel.

Desde el punto de vista del caso puntual, poco más puede decirse de las acertdaas palabras de Samuel y las interesantes aportaciones en los comentarios de Sergio Carrasco.

Sin embargo hay una cuestión en todo ese asunto que termina de gustarme y que es una cuestión que la Agencia de Protección de Datos (AGPD) parece no querer valorar, precisamente porque le afecta a ella misma.

Según el propio relato fáctico contenido en la Resolución sancionadora, la AGPD solicita a los responsables de diferentes sitios web que remiten correos con información comercial los datos de los que disponen de las altas en sus servicios, así como los procedimientos para verificar el consentimiento.

Obtenida la dirección IP desde la que se hizo la conexión al servicio la Agencia se dirige al operador de telecomunicaciones a fin de que le proporcione la identidad del titular de la línea desde donde se remitieron los datos.

"Casualmente" la línea corresponde a una persona jurídica, y por lo tanto no se ve afectada por la Ley Orgánica de Protección de Datos, pero no así por otras normas que veremos.

Pero la naturalidad de la petición de la Agencia obliga a preguntarse si la misma puede ir pidiendo los datos, que pueden ser personales, a terceras empresas.

El dato de la dirección IP, así como la duración de la conexión que figura en la propia resolución sancionadora, son datos relativos a una comunicación electrónica.

Estos datos, sean o no de caracter personal, se ven sometidos a la Ley 25/2007 de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. (Art. 1):

"1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

2. Esta Ley se aplicará a los datos de tráfico y de localización sobre personas físicas y jurídicas y a los datos relacionados necesarios para identificar al abonado o usuario registrado.

3. Se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas."

Los datos que las operadoras de tráfico retienen son( art. 3.1.a):

"2. Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

    1. La identificación de usuario asignada.

    2. La identificación de usuario y el número de teléfono asignados a toda comunicación que acceda a la red pública de telefonía.

    3. El nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono."

En el caso de la duración de la conexión (art.3.1.c):

"2. Con respecto al acceso a Internet, al correo electrónico por Internet y a la telefonía por Internet:

    1. La fecha y hora de la conexión y desconexión del servicio de acceso a Internet registradas, basadas en un determinado huso horario, así como la dirección del Protocolo Internet, ya sea dinámica o estática, asignada por el proveedor de acceso a Internet a una comunicación, y la identificación de usuario o del abonado o del usuario registrado.

    2. La fecha y hora de la conexión y desconexión del servicio de correo electrónico por Internet o del servicio de telefonía por Internet, basadas en un determinado huso horario."

Y respecto del número del titular de la líena sobre la que se produce la comunicación (art.3.1.d):

"3. Con respecto al acceso a Internet, correo electrónico por Internet y telefonía por Internet:

    1. El número de teléfono de origen en caso de acceso mediante marcado de números."

Todos estos datos son retenidos y quedan en poder de los prestadores de servicios de comunicaciones electrónicas, sujetos obligados por esta Ley de Conservación de datos, artículo 2.

Esta norma establece que los datos de tráfico, hagan referencia a personas físicas o jurídicas, no pueden ser cedidos a terceros excepto en los casos de la persecución de delitos graves y a una serie de personas claramente delimitadas y previa solicitud judicial(artículo 6):

"1. Los datos conservados de conformidad con lo dispuesto en esta Ley sólo podrán ser cedidos de acuerdo con lo dispuesto en ella para los fines que se determinan y previa autorización judicial."

En la resolución de la Agencia no se encuentra ninguna referencia al procedimiento judicial abierto o al grave delito cometido.

Sin embargo, AUNA le proporciona:

"Auna Telecomuniciones, S.A.U., que tiene asignado el rango de direcciones al que corresponde la dirección IP “#########”, informó que “el usuario al que se asocia la dirección IP citada es un usuario genérico, el número de teléfono que utiliza para conectarse es el *********”. De la documentación aportada por dicho operador de telecomunicaciones, se desprende que la conexión desde esta línea telefónica tuvo lugar a las 19:13 del día 25/10/2005, con una duración total de 32,5 minutos."

Vamos, que en mi opinión, todos esos datos son los propios sometidos a la Ley de Conservación y por lo tanto sujetos a su ámbito de aplicación de la norma. Sin embargo la AGPD los obtiene sin ningún problema.

Con la información de AUNA, la Agencia se dirige a Telefónica para localizar al responsable de la línea, que finalmente es la empresa sancionada.

Sin la información proporcionada por AUNA no se habría podido sancionar, por lo que estamos ante una prueba de mucha relevancia para la resolución del asunto. Sin embargo, entiendo que AUNA no debió proporcionar los datos a la AGPD.

La propia Ley Orgánica de Protección de Datos, establece que, artículo 11, las comunicaciones de datos se deben realizar previo consentimiento del interesado o bien sin el consentimiento pero entonces muy limitadas.

En este caso la comunicación se hizo sin el consentimiento del interesado, logicamente. Veamos pues si AUNA debió comunicar los datos a la Agencia por la vía de la LOPD, aunque ya hemos visto que no debió hacerlo en aplicación de la Ley de Conservación de Datos.

Procede la comunicación de datos a terceros sin el consentimiento del titular cuando (artículo 11.2):
  1. Cuando la cesión está autorizada en una ley.

  2. Cuando se trate de datos recogidos de fuentes accesibles al público.

  3. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

  4. Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

  5. Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

  6. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

Como se ha visto, es el caso de cesiones a determinadas instituciones, entra las que no se encuentra la AGPD. Sería planteable si una ley permite la comunicación de esos datos para caer dentro del supuesto del aparatado a).

Ya hemos visto que la Ley de Conservación de Datos no es posible aplicarla y la otra norma que se me ocurre es la propia LOPD, en su artículo 37.1.f que son funciones de la AGPD

Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones.

Logicamente esta podría ser la vía, pero una interpretación tan amplia como para permitir obtener información con contravención de otra norma no me resulta aceptable, sobre todo si tenemos en cuenta el caracter de Ley ordinaria, no orgánica, del artículo 37 de la LOPD, según se señala en la Disposición Final Segunda.

No existe, por lo tanto, un conflicto que pueda solucionarse por aplicación del principio de jerarquía normativa, sino por otras de las reglas de interpretación en caso de conflicto de normas. En este caso la ley especial es la de conservación de los datos y también es posterior, por lo que entiendo que la AGPD no debió obtener esa información y actuó con contravención del ordenamiento jurídico en la instrucción del procedimiento.

Pero claro, quien es el guapo que se enfrenta con la AGPD, en este caso AUNA y le niega unos datos que en principio parece ella la encargada de controlar, al menos su buena gestión, y con unas sanciones tan desporporcionadas.

La inclusión en un procedimiento sancionador de una prueba ilícita supone un fuerte argumento para la defensa de la empresa sancionada ante la Audiencia Nacional.

Como siempre digo, no estoy por la impunidad, pero sí por la norma, y en este caso estamos ante una sanción de 60.000 euros, y si se regula de tal forma que a esos datos no puede acceder nadie que no sean las personas señaladas en la norma, pues que no se haga.

Lo criticable es que la AGPD se aproveche del miedo de la gente a sus resoluciones para olvidarse del ordenamiento jurídico y realizar peticiones que sabe no puede hacer.

Aunque igual me equivoco y ha puesto los hechos en conocimiento del responsable pertinente para que sancione a AUNA por vulneración de la Ley 25/2007. Quien sabe.